03.09.2025
1 хв
597
Cloudflare підтвердила витік даних після компрометації інтеграції Salesloft Drift, яка відкрила доступ до її Salesforce-середовища. Зловмисники викрали текстові дані з підтримки клієнтів, включно з 104 API-токенами, контактною інформацією та вмістом заявок.
Компанія повідомила, що 23 серпня 2025 року отримала сповіщення про інцидент і одразу розпочала внутрішнє розслідування. Всі викрадені токени були оперативно відкликані, а постраждалі клієнти отримали сповіщення 2 вересня.
За даними Cloudflare, зловмисники діяли між 12 та 17 серпня після початкової розвідки 9 серпня. Вони змогли ексфільтрувати лише текст із Salesforce case objects — теми звернень, тексти листування й контактні дані. Вкладення та файли залишилися недоторканими.
Компанія попередила, що будь-які дані, надані у заявках до служби підтримки (логи, ключі доступу, паролі), слід вважати скомпрометованими. Під час розслідування Cloudflare не зафіксувала підозрілої активності, пов’язаної з викраденими токенами, однак рекомендує клієнтам негайно змінити паролі й ключі.
Атака стала частиною масштабної хвилі компрометацій Salesforce через уразливість у Salesloft Drift. Кампанія торкнулася сотень компаній у світі. За даними дослідників, до атак причетне угруповання ShinyHunters, яке спеціалізується на соціальній інженерії, зокрема телефонних дзвінках (vishing) для отримання доступу до OAuth-додатків.
Від початку року жертвами цього угруповання стали Google, Cisco, Qantas, Allianz Life, Farmers Insurance, Workday, Adidas, а також бренди LVMH (Louis Vuitton, Dior, Tiffany & Co.). Подібні інциденти також підтвердили Zscaler і Palo Alto Networks.
Хоча інцидент у Cloudflare не зачепив її основні сервіси та інфраструктуру, він показав, наскільки небезпечними є атаки на ланцюг постачання. Викрадена інформація може бути використана для цільових атак проти клієнтів. Cloudflare закликає всі компанії уважніше контролювати інтеграції з третіми сторонами, впроваджувати регулярну ротацію ключів та мінімізувати обсяг переданих у підтримку даних.
